Описание |
Technical Details
Опасный резидентный загрузочный вирус. При загрузке с пораженного диска
копирует себя в расширенную память, переводит компьютер в защищенный режим
(если, конечно, это возможно) и запускает виртуальную машину (V86).
Загрузка DOS и выполнение приложений будет происходить уже на этой
виртуальной машине.
Вирус перехватывает все 256 прерываний (от 00h до FFh) и проверяет
критические ситуации. При критической ситуации чтения с флоппи-диска вирус
заражает его (винчестер поражается при загрузке с зараженного
флоппи-диска). При остальных критических ситуациях вирус выводит одно из
двух сообщений:
Unimplemented Interrupt:
Offending instructions:
General Protection Fault:
Offending instructions:
Offending CS:IP:
В вирусе также содержится строчка “PMBSVIRS”.
Этот вирус является стелс-вирусом при доступе к винчестеру. Он
проверяет ввод/вывод в порты (используя особенности защищенного режима
процессора i386) и корректирует соответствующие данные.
Содержит несколько ошибок, включая принципиальные. Основная программистская
ошибкой – некорректное поражение флоппи-дисков. Вирус записывает на него
только ту свою часть, которая работает в реальном режиме. Часть, отвечающая
за обработку прерываний в защищенном режиме, не записывается на диск. При
загрузке с такой дискеты компьютер зависает.
Принципиальной ошибкой является то, что пораженную 386-ю машину можно
использовать только как PC-86, поскольку вирус переходит в режим
супервизора и не позволяет другим программам стать таким супервизором. Не
позволяет он также получить доступ к расширенной памяти. В результате такие
популярные программы, как EMS386, QEMM386, Windows не будут работать на
пораженном компьютере. Более того, зависание компьютера вызывает
стандартная DOS’овская программа MEM, поскольку она проверяет расширенную
память.
|